Una nueva alerta de Microsoft de una serie de ataques de phishing diseñados para robar nombres de usuario y credenciales de Office 365 a través de una serie de redireccionamientos maliciosos ha generado advertencias de toda la comunidad de seguridad.
Marcada por primera vez el 26 de agosto, la campaña utiliza enlaces de redirección abiertos, combinados con señuelos de ingeniería social que se hacen pasar por Office 365, para tentar a los usuarios a hacer clic en un enlace. Esto conduce a una serie de redireccionamientos abiertos, que tienen usos legítimos comunes, por ejemplo, para dirigir a los clientes a una página de destino o realizar un seguimiento de las tasas de clics en el correo electrónico, para llevar a la víctima a una página de verificación maliciosa de Google ReCAPTCHA y, desde allí, a una oficina falsa. 365 página de inicio de sesión, donde los desafortunados son eliminados de sus credenciales y luego redirigidos a otra página falsa, que pretende ser Sophos, para agregar legitimidad adicional a la empresa.
Microsoft también advirtió que un método común para evitar hacer clic en un phish (pasar el cursor sobre el enlace para ver la URL completa) es en este caso ineficaz, ya que los actores maliciosos detrás de la campaña han configurado redireccionamientos abiertos utilizando un servicio legítimo.
Microsoft no dio ninguna indicación de quién podría estar detrás de la campaña, o cómo se pueden usar los datos comprometidos, pero proporcionó varios indicadores de compromiso (IOC) y muestras tanto de los correos electrónicos maliciosos de Office 365 como de los dominios maliciosos, para ayudar a los equipos de seguridad. estar en guardia.
Aaron Drapkin de ProPrivacy dijo que varios elementos de esta campaña deberían hacerla particularmente preocupante, como los redireccionamientos de múltiples capas y las páginas falsas diseñadas para asegurar a las víctimas que no están haciendo nada malo, y el hecho de que los actores maliciosos detrás de ella han neutralizado a uno de los las tácticas anti-phishing más conocidas.
“Esta historia ilustra la carrera armamentista perpetua entre los estafadores, con sus trucos cada vez más sofisticados, y los consumidores, que se están educando cada vez más sobre las técnicas de phishing”, dijo. “Este es un excelente ejemplo de por qué las personas y las empresas deben estar a la vanguardia con la educación: lo que es una buena práctica hoy podría ser una mala práctica mañana”.
El defensor de la concientización sobre la seguridad de KnowBe4, Javvad Malik, agregó: “Los delincuentes continúan evolucionando sus técnicas y tácticas para garantizar que sus campañas de phishing sean más exitosas. El uso de redireccionamientos u ocultarse detrás de CAPTCHA es una buena manera de evitar las comprobaciones de verificación de enlaces u otras herramientas. Por eso es importante que las organizaciones recuerden que no importa qué tan buena sea una tecnología en particular hoy en día, no necesariamente será efectiva todo el tiempo frente a amenazas en constante cambio.
“Por lo tanto, implementar un plan sólido de capacitación y concientización sobre seguridad es esencial para ayudar a los usuarios a identificar y poder informar cualquier correo electrónico sospechoso de suplantación de identidad”.
El director de cumplimiento de Sectigo, Tim Callan, dijo que el riesgo de phishing se había vuelto particularmente agudo en la “nueva normalidad” del trabajo remoto o híbrido.
“Fuerzas de trabajo distribuidas masivamente y la proliferación de IoT [internet of things] en este mundo Covid-19 hemos creado un terreno exuberante para que los malos actores lleven a cabo ataques ”, dijo. “Es imperativo que los empleados comprendan los conceptos básicos de la identidad digital y la higiene digital y estén capacitados para reconocer los intentos de ingeniería social como el phishing”.
Pero el problema era más grande que solo el phishing, dijo Callan. “Estos ataques arrojan luz sobre el discurso de confianza cero y la necesidad de un uso a mayor escala de mecanismos de autenticación sólidos como los certificados de cliente”, dijo. “Los principios de confianza cero deben estar en el centro, para que las empresas puedan confiar en su propia red de la misma manera que confían en la Internet pública hostil, lo que significa con extrema precaución.
“Los malos tienen múltiples formas de entrar y no terminan ahí una vez que se afianzan. Con la nube, las redes híbridas y la segmentación de la red, los datos de una empresa probablemente cruzan más de un límite de red hostil. La autenticación sólida es un lugar para comenzar y las identidades digitales son el nuevo perímetro “.
Drapkin de ProPrivacy agregó que una consecuencia más de esta última campaña puede ser que Google podría actuar para proteger las URL abreviadas. “Son una herramienta de marketing, pero ¿cuánto abuso de esto hará Google antes de que se realice algún tipo de modificación?” él dijo.